發布日期: 2016年 10月 19日
Oracle 發布了重要修補程式更新公告,包括一系列應對 Java SE 和不同 Oracle 產品中多個漏洞的安全修補程式。
在多個受影響的 Java 子部件中,包括2D、AWT、Hotspot、JMX、Libraries 和 Networking,發現了 13 個漏洞。這些漏洞可被未獲授權的攻擊者從遠端攻擊。
對於在 Oracle 產品中發現的漏洞,攻擊者可通過多種規約,包括 HTTP、HTTPS、IKEv2、MySQL Protocol、NTP、Oracle Net、SSH、SSL/TLS、VDRP 及 XML經網絡從遠端攻擊。
攻擊者可通過多種方式攻擊受影響的系統。對於 Java,攻擊者可誘使用戶開啓載有不可靠 Java applet 或含惡意內容的 Java Web Start 應用程式的特製網頁,或以 Java launcher 起動執行檔。對於其他 Oracle 產品,遠端攻擊者可傳送特製的網絡封包到受影響系統攻擊這些漏洞。
關於受影響產品的詳細資料,請參閱供應商網站相關安全公告中 “Affected Products and Components” 的部分:
http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
功攻擊這些漏洞可導致執行程式碼、服務受阻斷、數據操縱或取得敏感資料,視乎攻擊者利用哪個漏洞而定。
現已有適用於受影響系統的修補程式。受影響系統的用戶應遵從產品供應商的建議,立即採取行動以降低風險。
Oracle Java SE 產品的修補程式可從以下連結下載:
Java Platform SE 8 (JDK 及 JRE 8 Update 111/112)
- http://www.oracle.com/technetwork/java/javase/downloads/index.html
關於其他 Oracle 產品,請參閱供應商網站相關安全公告中 “Patch Availability Table and Risk Matrices"的部分:
- http://www.oracle.com/technetwork/topics/security/cpuoct2016-2881722.html
用戶可聯絡其產品支援供應商,以取得修補程式及有關支援。
http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html
http://www.oracle.com/technetwork/java/javase/8u111-relnotes-3124969.html
http://www.oracle.com/technetwork/java/javase/8u112-relnotes-3124973.html
https://www.hkcert.org/my_url/en/alert/16101902
https://www.us-cert.gov/ncas/current-activity/2016/10/18/Oracle-Releases-Security-Bulletin
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-5312
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2067
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2566
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4286
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4322
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4444
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4590
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0050
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0075
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0096
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0099
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0119
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0227
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2532
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3571
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9296
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0286
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0381
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0382
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0409
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0411
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0423
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0433
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0500
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1351
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1791
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1793
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2568
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3195
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3197
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3253
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7501
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7940
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0635
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0714
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1181
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1881
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1950
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2107
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2176
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3081
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3473
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3492
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3495
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3505
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3551
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3562
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4979
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5479
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5480 (to CVE-2016-5482)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5486 (to CVE-2016-5493)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5495
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5497 (to CVE-2016-5508)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5510 (to CVE-2016-5519)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5521 (to CVE-2016-5527)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5529 (to CVE-2016-5540)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5542 (to CVE-2016-5544)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5553 (to CVE-2016-5589)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5591 (to CVE-2016-5613)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5615 (to CVE-2016-5622)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5624 (to CVE-2016-5635)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6304
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6662
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7440
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8281
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8283 (to CVE-2016-8296)